WORM_KOLAB.INC

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\Google\Update\GoogleUpdate.exe
• %User Profile%\Cache\igfxscr86.exe
• %System%\igfxscr86.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

• {removable drive}\.trash

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• S3xY!

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• explorer.exe

Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:

• port
• vbox
• vmsrvc
• vmware
• tcpview
• wireshark.exe
• regshot.exe
• procmon.exe
• filemon.exe
• regmon.exe
• procdump.exe
• cports.exe
• procexp.exe
• squid.exe
• dumpcap.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Service Driver = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Google Update = "{malware path and file name}"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
{malware path and file name} = "DisableNXShowUI"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\MRT
DontReportInfectionInformation = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:VLAN"

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Verbreitung

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

[AutoRun]
open={malware path and filename}
icon=%windir%\system32\SHELL32.dll,4
action=Open the folder to view files using Explorer
shell\open=Open
shell\open\command={malware path and filename}
shell\open\default=1
shell\explore=Explore
shell\explore\command={malware path and filename}
shell\search=Search...
shell\search\command={malware path and filename}
useautoplay=1

Versendet Eigenkopien an Zielempfänger über die folgenden Instant-Messaging-Anwendungen:

• Skype
• AIM
• ICQ
• Yahoo Messenger
• Google Talk
• MSN Messenger
• Paltalk
• XFire

Backdoor-Routine

Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

• {BLOCKED}4.{BLOCKED}awanta.su

Wählt sich in einen oder mehrere der folgenden IRC-Kanäle ein:

• #t8nted

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• drive32.exe
• msvmiode.exe
• teatimer.exe
• mrt.exe
• mrtstub.exe
• tcpview.exe
• hijackthis.exe
• msmpeng.exe
• msascui.exe
• mpcmdrun.exe
• usbguard.exe
• billy.exe
• nvsvc32.exettqrm.exe
• rvhost.exe
• xplorer.exe

Download-Routine

Verbindet sich mit den folgenden bösartigen URLs:

• http://{BLOCKED}5.1{BLOCKED}7.213.67/net/debug1.txt

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Andere Details

Beendet sich selbst, falls festgestellt wird, dass die Ausführung in einer virtuellen Umgebung erfolgt.